【Android 插件化】基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征
生活随笔
收集整理的這篇文章主要介紹了
【Android 插件化】基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
文章目錄
- 一、基于插件化引擎 的 惡意應(yīng)用 與 良性應(yīng)用 區(qū)別
- 二、惡意插件化應(yīng)用特征
一、基于插件化引擎 的 惡意應(yīng)用 與 良性應(yīng)用 區(qū)別
在 【Android 插件化】VAHunt 引入 | VAHunt 原理 | VAHunt 識(shí)別插件化引擎 和
【Android 插件化】VAHunt 檢測(cè)插件化引擎的具體細(xì)節(jié) 博客中 , 簡(jiǎn)單介紹了如何檢測(cè)插件化引擎 ;
下一步就需要在檢測(cè)出插件化引擎之后 , 檢測(cè)該應(yīng)用是否是惡意應(yīng)用 ;
大多數(shù)基于插件化的 惡意應(yīng)用 , 都會(huì)對(duì) 惡意插件 加密 , 或從網(wǎng)絡(luò)中下載 ;
惡意軟件的宿主應(yīng)用 , 一般會(huì)以靜默方式加載插件 , 并且將下載或解密后的惡意插件 , 隱藏起來(lái) ;
下圖是 基于插件化引擎 的 惡意應(yīng)用 與 良性應(yīng)用 區(qū)別 :
- 良性應(yīng)用 : 獲取到插件應(yīng)用后 , 會(huì)讓用戶選擇是否安裝運(yùn)行插件 , 如果用戶同意 , 安裝運(yùn)行插件 , 如果用戶拒絕 , 不安裝插件 ; 執(zhí)行插件 APK 時(shí) , 以正常的 UI 界面執(zhí)行 ;
- 惡意應(yīng)用 : 獲取到插件 APK 路徑后 , 不經(jīng)過(guò)用戶同意 , 以靜默方式安裝運(yùn)行插件 , 并且將插件隱藏起來(lái) ;
二、惡意插件化應(yīng)用特征
惡意軟件 解密 或 下載 惡意插件后 , 通常會(huì)隱藏惡意插件 ;
加載 APK 插件的常用路徑 :
- 從自定義路徑加載插件 : 從如下路徑中獲取插件 APK ;
- 從系統(tǒng)路徑加載插件 : 獲取安裝的應(yīng)用 getInstalledPackages() , 或執(zhí)行 Runtime().exec(“pm list packages”) 命令 , 獲取安裝的 APK 文件 ;
靜默執(zhí)行插件的行為總結(jié) : 靜默安裝和執(zhí)行惡意插件 ;
- 安裝應(yīng)用 : 不經(jīng)過(guò)用戶同意 , 調(diào)用 installApp()/installPackage() 安裝應(yīng)用 , 并且靜默安裝 ;
- 靜默執(zhí)行應(yīng)用 :
- 調(diào)用 public void setComponentEnabledSetting (ComponentName componentName, int newState, int flags) 方法 , 設(shè)置組件 ;
- 為宿主應(yīng)用窗口設(shè)置 FLAG_NOT_TOUCH_MODAL 標(biāo)識(shí) , 不阻塞觸摸事件 , 運(yùn)行時(shí)避免被用戶發(fā)現(xiàn) ;
總結(jié)
以上是生活随笔為你收集整理的【Android 插件化】基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【Android 插件化】VAHunt
- 下一篇: 【Android 插件化】基于插件化的恶